preLoad Image preLoad Image
검색 바로가기
주메뉴 바로가기
주요 기사 바로가기
다른 기사, 광고영역 바로가기
중앙일보 사이트맵 바로가기

“농협 해킹, 북한 소행 가능성 크다”

정부는 농협 전산망 마비 사태와 관련한 조사의 초점을 북한에 맞추고 있다. 삭제 명령의 진원지인 한국IBM 직원의 노트북과 서버에 남아 있는 ‘디지털 족적(足跡)’을 역추적한 결과 그중 하나가 북한에서 해킹용으로 주로 쓰는 ‘북한발 IP(인터넷 프로토콜)’일 가능성이 크다고 판단하기 때문이다.

 정부 고위 관계자는 25일 “한국IBM 직원의 노트북과 서버에 연결된 정황이 있는 수백 개의 IP 중 경로가 의심스러운 IP를 역추적하고 있다”며 “노트북을 경유한 외부 침입자의 해킹이라는 게 지금까지의 잠정 결론이며, 북한의 소행 가능성을 염두에 두고 조사하고 있다”고 밝혔다. 그러면서 “북한은 해킹한 다음 IP 흔적을 지워버리나 정부는 그걸 찾는 기술을 보유하고 있다. 이번 주말이면 사실을 파악할 수 있을 것”이라고 말했다.

 조사 결과 문제의 노트북은 외부에 반출된 상태에서 자유롭게 인터넷에 연결된 채 사용됐다. 노트북이 사무실에서 농협 전산망에 연결됐을 때도 이동통신 무선데이터망을 통해 외부 인터넷과 접속됐다고 한다. 이 과정에서 악성코드가 심어지고 원격조정을 통해 특정한 시기에 삭제(rm) 명령이 내려진 것으로 정부는 보고 있다.

정부 관계자는 “우리 정보당국은 북한발 해킹용 IP들을 상당수 파악하고 있다”며 “북한은 이들 IP를 통해 수시로 국내 주요 전산망 시설에 대한 사이버 공격을 시도하고 있다는 게 정부의 판단인 만큼 이번에도 그런 시도를 했을 가능성이 충분히 있다”고 주장했다. 보안업계 한 전문가는 “북한은 수시로 해킹용 IP를 통해 국내 주요 전산시설에 대한 해킹을 시도한다”며 “북한 입장에서 남한에 혼란을 일으킬 수 있는 효율적인 방안 중 하나가 사이버 테러이므로 북한은 지속적으로 이런 테스트를 하고 있다”고 말했다. 정부가 북한 소행 가능성에 초점을 맞추는 또 다른 이유는 이번 마비사태의 경우 해커가 데이터를 빼가기 위한 복사 명령을 내리지 않는 등 어떤 이득을 취하려 하지 않았고, 기술적인 해킹만 시도했기 때문이다.

 2009년 7월 청와대·국방부 홈페이지 등에 대한 사이버 테러가 발생했을 때 원세훈 국가정보원장은 그해 10월 “ 디도스(DDoS·분산 서비스 거부) 공격의 경로를 추적한 결과 중국에서 선을 임차해 쓰는 북한 체신청의 IP인 것으로 확인했다”고 말했었다.

이원호·고정애 기자
AD
온라인 구독신청 지면 구독신청

중앙일보 핫 클릭

PHOTO & VIDEO

shpping&life

뉴스레터 보기

김민석의 Mr. 밀리터리 군사안보연구소

군사안보연구소는 중앙일보의 군사안보분야 전문 연구기관입니다.
군사안보연구소는 2016년 10월 1일 중앙일보 홈페이지 조인스(https://news.joins.com)에 문을 연 ‘김민석의 Mr. 밀리터리’(https://news.joins.com/mm)를 운영하며 디지털 환경에 특화된 군사ㆍ안보ㆍ무기에 관한 콘텐트를 만들고 있습니다.

연구소 사람들
김민석 소장 : kimseok@joongang.co.kr (02-751-5511)
국방연구원 전력발전연구부ㆍ군비통제센터를 거쳐 1994년 중앙일보에 입사한 국내 첫 군사전문기자다. 국방부를 출입한 뒤 최장수 국방부 대변인(2010~2016년)으로 활동했다. 현재는 군사안보전문기자 겸 논설위원으로 한반도 군사와 안보문제를 깊게 파헤치는 글을 쓰고 있다.

박용한 연구위원 : park.yonghan@joongang.co.kr (02-751-5516)
‘북한의 급변사태와 안정화 전략’을 주제로 북한학 박사를 받았다. 국방연구원 안보전략연구센터ㆍ군사기획연구센터와 고려대학교 아세아문제연구소 북한연구센터에서 군사ㆍ안보ㆍ북한을 연구했다. 2016년부터는 중앙일보에서 군사ㆍ안보 분야 취재를 한다.